パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SELinuxの教育プログラムリリースへ」記事へのコメント

  • rootファイルシステムをいじれるユーザが乗っ取られても大丈夫なんだろうか?
    そのユーザのログインシェルが、mkdirしか実行できなかったりする?
    • できる筈です。
      rootのパスワードがばれていたら意味ないですが。
      # newrole -r sysadm_r ができてしまう為。
      --
      ---にょろ~ん
      • そもそも interface にラベル付けて、WAN 側からのパケットでは newrole できないように設定するとかしたら、とりあえずは外部からは防げますよね。

        さすがに console からだけとかだとアレですが、内部管理用マシンからシリアルコンソールに繋いで、そこから以外は newrole させないという手もありますか。

        • パケットとコマンドの実行権限というのは厳しいですが、
          sshdからの遷移でsysadm_tに行けないようにするというような設定ができますね。

          ドメイン遷移の設定が面倒なら、ネットワークログインであることを
          示すロールを作って、sysadm_rに行けないようにするとか。
          まぁ、がんがってください。
          親コメント

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...